Pour éditer le wiki, il faut demander un compte à un Lapin !
Difference between revisions of "DN42"
m (→Intercos en place: Ajout de 2 intercos. Attention, il ne reste plus qu'un /31 ;)) |
(Fibre et full-view) |
||
(37 intermediate revisions by 3 users not shown) | |||
Line 1: | Line 1: | ||
− | |||
Le Loop participe à '''dn42''' ! | Le Loop participe à '''dn42''' ! | ||
Line 33: | Line 32: | ||
=== Notre implémentation de DN42 === | === Notre implémentation de DN42 === | ||
+ | ==== Un micro-bout d'histoire ==== | ||
Le Loop s'est connecté à DN42 le temps du week-end des 9 et 10 août 2014. Le projet a été mené par [[User:Nicoo|nicoo]], [[User:Kankan|kankan]] et [[User:dlgg|dlgg]]. | Le Loop s'est connecté à DN42 le temps du week-end des 9 et 10 août 2014. Le projet a été mené par [[User:Nicoo|nicoo]], [[User:Kankan|kankan]] et [[User:dlgg|dlgg]]. | ||
La [[VM Heimdall]] a été installée pour s'occuper d'interconnecter le LAN et router le traffic vers/depuis DN42. Ainsi un problème sur DN42 ne pourra impacter le fonctionnement du LAN. À noter que pour l'occasion les différents sous-réseaux ont été renumérotés avec un [[Plan d'adressage|adressage compatible DN42]]. | La [[VM Heimdall]] a été installée pour s'occuper d'interconnecter le LAN et router le traffic vers/depuis DN42. Ainsi un problème sur DN42 ne pourra impacter le fonctionnement du LAN. À noter que pour l'occasion les différents sous-réseaux ont été renumérotés avec un [[Plan d'adressage|adressage compatible DN42]]. | ||
− | + | ==== Petite description ==== | |
− | Pour le routage BGP il a été décidé d'utiliser [http://bird.network.cz/ BIRD]. | + | Techniquement DN42 à la BlackLoop c'est des tunnels [http://www.openvpn.net OpenVPN], [https://fr.wikipedia.org/wiki/Internet_Protocol_Security IPSec] ou [https://projects.universe-factory.net/projects/fastd/wiki fastd] montés avec d'autres membres de dn42, ainsi qu'un VPN [http://tinc-vpn.org/ tinc] avec FFDN. Une liste complète des peers est disponible [[DN42#Intercos_en_place|plus bas]] |
+ | |||
+ | Pour le routage BGP il a été décidé d'utiliser [http://bird.network.cz/ BIRD]. | ||
+ | |||
+ | ==== Communautés BGP ==== | ||
+ | |||
+ | DN42 utilise des communautés BGP [https://dn42.net/howto/Bird-communities spécifiées ici] pour annoncer certaines propriétés d'une route : | ||
+ | * Utilise-t-elle exclusivement des tunnels chiffrés? Assurent-ils la [https://fr.wikipedia.org/wiki/Confidentialit%C3%A9_persistante confidentialité persistante] ? | ||
+ | * Quelle est la bande passante minimale, parmi les liens traversés ? | ||
+ | * Quelle est la latence maximale, parmi les liens traversés ? | ||
+ | |||
+ | De plus, les routeurs BGP de DN42 semblent honorer les communautés standard telles que '''NO_EXPORT''', que nous utilisons également. | ||
+ | |||
+ | [[User:Kankan|kankan]] a commencé la mise en place des communautés BGP au Loop. | ||
+ | |||
+ | Pour l'instant, nous taggons toutes les routes comme ayant au plus 20ms de latence, la bande passante d'une connexion ADSL et utilisant des tunnels chiffrés sans PFS (c'est le cas de la majorité de nos intercos OpenVPN). Il faudra affiner ceci dans le futur. | ||
+ | |||
+ | Les communautés sont données à titre indicatif pour d'autres participants à DN42, notre politique de routage actuelle n'utilisant pas les communautés. | ||
+ | |||
+ | ==== Politique de routage et de peering ==== | ||
+ | |||
+ | Maintenant que nous avons une grosse connexion Internet, Heimdall envoie désormais une full view à tout ses pairs. | ||
+ | |||
+ | Historiquement, nous n'avions qu'une connexion ADSL/VDSL au loop, partagée avec le Jardin d'Alice. Cette connexion était déjà relativement sollicitée, nous avions décidé de ne pas devenir un noeud de transit DN42 pour économiser notre bande passante. Par conséquent, '''par défaut nous n’annoncions que nos routes et ne redistribuons pas les routes apprises par nos pairs''', à quelques exceptions près. | ||
=== Ressources et objets enregistrés dans le registre de DN42 === | === Ressources et objets enregistrés dans le registre de DN42 === | ||
Line 55: | Line 78: | ||
** <code>172.22.59.0/24</code> (annoncé) pour les réseaux des squats | ** <code>172.22.59.0/24</code> (annoncé) pour les réseaux des squats | ||
** <code>172.22.247.0/27</code> (non-annoncé) pour les interconnexions | ** <code>172.22.247.0/27</code> (non-annoncé) pour les interconnexions | ||
+ | ** <code>172.22.247.192/26</code> (non-annoncé) pour les interconnexions | ||
* Noms de domaines : | * Noms de domaines : | ||
** <code>leloop.dn42</code> | ** <code>leloop.dn42</code> | ||
Line 60: | Line 84: | ||
=== Intercos en place === | === Intercos en place === | ||
+ | <small>Les intercos barrées sont celles actuellement down.</small> | ||
* Dans notre bloc d'interco (<code>172.22.247.0/27</code>) | * Dans notre bloc d'interco (<code>172.22.247.0/27</code>) | ||
Line 65: | Line 90: | ||
** <code>172.22.247.2/31</code> : [[User:dlgg|dlgg]] (OpenVPN, client) <code>AS4242420369</code> | ** <code>172.22.247.2/31</code> : [[User:dlgg|dlgg]] (OpenVPN, client) <code>AS4242420369</code> | ||
** <code>172.22.247.4/31</code> : Nurtic-Vibe sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN, PTP) <code>AS4242420123</code> | ** <code>172.22.247.4/31</code> : Nurtic-Vibe sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN, PTP) <code>AS4242420123</code> | ||
+ | ** <code>172.22.247.6/32</code> : Breizh-Entropy (petrus) sur [irc://irc.geeknode.org/ffdn-dn42 #ffdn-dn42] (OpenVPN, PTP) <code>AS64751</code> | ||
** <code>172.22.247.7/32</code> : MWD sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN, PTP) <code>AS4242420002</code> | ** <code>172.22.247.7/32</code> : MWD sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN, PTP) <code>AS4242420002</code> | ||
+ | ** <code>172.22.247.8/32</code> : toBee sur [irc://irc.hackint.net/dn42 #dn42] (fastd) <code>AS4242420022</code> | ||
** <code>172.22.247.9/32</code> : xuu sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN, PTP) <code>AS64737</code> | ** <code>172.22.247.9/32</code> : xuu sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN, PTP) <code>AS64737</code> | ||
− | ** <code>172.22.247.10/31</code> : Sammy sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN, PTP) <code> | + | ** <code>172.22.247.10/31</code> : Sammy sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN, PTP) <code>AS76175</code>, GPG <code>0xE7A4B302</code> |
− | ** <code>172.22.247.12/31</code> : Ryan sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN, PTP) <code>AS64746</code>, GPG <code>0xF95CDE14</code> | + | ** <strike><code>172.22.247.12/31</code> : Ryan sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN, PTP) <code>AS64746</code>, GPG <code>0xF95CDE14</code></strike><small>Down depuis Mai 2015 ; nicoo a contacté Ryan</small> |
− | ** <code>172.22.247.14/31</code> : farhaven sur [irc://irc.hackint.net/dn42 #dn42] (IPSec/GRE) <code>AS4242422342</code> | + | ** <strike><code>172.22.247.14/31</code> : farhaven sur [irc://irc.hackint.net/dn42 #dn42] (IPSec/GRE) <code>AS4242422342</code></strike> |
− | ** <code>172.22.247.16/31</code> : | + | ** <code>172.22.247.16/31</code> : '''libre''' |
** <code>172.22.247.18/31</code> : Interco freifunk (Bodems sur [irc://irc.hackint.net/dn42 #dn42]) (OpenVPN, PTP) <code>AS65529</code>, GPG <code>0x68EAB8261BFCC84A</code> | ** <code>172.22.247.18/31</code> : Interco freifunk (Bodems sur [irc://irc.hackint.net/dn42 #dn42]) (OpenVPN, PTP) <code>AS65529</code>, GPG <code>0x68EAB8261BFCC84A</code> | ||
** <code>172.22.247.20/31</code> : Martin89 sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN, PTP) <code>AS64713</code>, GPG <code>0x17CA8DC19829FB42</code> | ** <code>172.22.247.20/31</code> : Martin89 sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN, PTP) <code>AS64713</code>, GPG <code>0x17CA8DC19829FB42</code> | ||
− | ** <code>172.22.247.22/31</code> : Astro sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN, PTP) <code> | + | ** <code>172.22.247.22/31</code> : CCC Dresden (Astro sur [irc://irc.hackint.net/dn42 #dn42]) (OpenVPN, PTP) <code>AS64699</code>, GPG <code>0x58512AE87A69900F</code> |
− | ** <code>172.22.247.24/30</code> : lorenzo sur [irc://irc.hackint.net/dn42 #dn42] (IPSec/GRE) <code>AS64713</code> <small>(c'est un <code>/30</code> à cause du routeur ''Mikrotok'' en face)</small> | + | ** <strike><code>172.22.247.24/30</code> : lorenzo sur [irc://irc.hackint.net/dn42 #dn42] (IPSec/GRE) <code>AS64713</code> <small>(c'est un <code>/30</code> à cause du routeur ''Mikrotok'' en face)</small></strike> |
+ | ** <code>172.22.247.28/30</code> : '''Utilisé''' pour l'interco entre [[VM Heimdall|heimdall]] et [[Routeur Rabbit|rabbit]] | ||
+ | |||
+ | * Dans notre second bloc d'interco (<code>172.22.247.192/26</code>): | ||
+ | ** <code>172.22.247.192/31</code> : unbedenklich sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN PTP), <code>AS4242420020</code>, GPG <code>0x6F79FDF6DF3FADA4</code> | ||
+ | ** <code>172.22.247.194/32</code> : FF Darmstadt (hexa- sur [irc://irc.hackint.net/dn42 #dn42]) (fastd PTP), <code>AS65038</code> | ||
+ | ** <code>172.22.247.195/32</code> : CCC Darmstadt (hexa- sur [irc://irc.hackint.net/dn42 #dn42]) (fastd PTP), <code>AS4242420101</code> | ||
+ | ** <strike><code>172.22.247.196/32</code> : Alistair sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN PTP), <code>AS4242420035</code>, GPG <code>0xC730EE52C673018B</code>, <small>full-view</small></strike> <small>Actuellement down, pour cause de descente de flics pendant qu'on mettait l'interco en place.</small> | ||
+ | ** <code>172.22.247.197/32</code> : '''libre''' | ||
+ | ** <code>172.22.247.198/31</code> : neoraider sur [irc://irc.hackint.net/dn42 #dn42] (fastd PTP), <code>AS</code> | ||
+ | ** <code>172.22.247.200/31</code> : nazco sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN PSK), <code>AS76118</code> | ||
+ | ** <code>172.22.247.248/30</code> : '''Utilisé''' pour l'interco entre [[VM Heimdall|heimdall]] et '''[[Serveur Polaire|Polaire]] | ||
+ | ** <code>172.22.247.252/30</code> : '''Réservé''' pour l'interco entre [[Routeur Rabbit|rabbit]] <small>(le routeur du loop)</small> et [[Routeur aiguilleur|aiguilleur]] <small>(le routeur de la Gare XP)</small> | ||
− | |||
* Autres | * Autres | ||
** <code>172.22.250.16/25</code> : IX FFDN sur [irc://irc.geeknode.org/ffdn-dn42 #ffdn-dn42] (tinc, switch) <code>AS746142</code> | ** <code>172.22.250.16/25</code> : IX FFDN sur [irc://irc.geeknode.org/ffdn-dn42 #ffdn-dn42] (tinc, switch) <code>AS746142</code> | ||
** <code>172.22.251.214/31</code> : Feuerrot sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN, PTP) <code>AS76140</code> | ** <code>172.22.251.214/31</code> : Feuerrot sur [irc://irc.hackint.net/dn42 #dn42] (OpenVPN, PTP) <code>AS76140</code> | ||
− | ** <code>172.22.164.208/30</code> : drixter sur [irc://irc.hackint.net/dn42 #dn42] (IPSec/GRE, <small>utilisation d'une PSK</small>) <code>AS56662</code>, full view <small>parce que ''drixter'' était une feuille de ''ryan''</small> | + | ** <strike><code>172.22.164.208/30</code> : drixter sur [irc://irc.hackint.net/dn42 #dn42] (IPSec/GRE, <small>utilisation d'une PSK</small>) <code>AS56662</code>, full view <small>parce que ''drixter'' était une feuille de ''ryan''</small></strike> |
+ | ** <code>172.22.254.66/27</code> : CCC Bremen (crest sur [irc://irc.hackint.net/dn42 #dn42]) (OpenVPN client), <code>AS64828</code> | ||
== Voir aussi == | == Voir aussi == |
Latest revision as of 22:10, 15 June 2015
Le Loop participe à dn42 !
Bon c'est tout jeune donc c'est un peu le bordel, mais tu peux filer la patte pour que ça ne soit plus le cas.
Contents
DN42
DN42 est un réseau overlay, dans lequel on utilise les mêmes protocoles que sur Internet (routage inter-AS réalisé avec BGP, DNS, whois, etc).
Les numéro d'AS ainsi que les adresses alloués au sein du réseau sont privés (DN42 utilise 172.22.0.0/15 en IPv4, des ULA en IPv6).
C'est un moyen simple de se faire la main pour faire tourner du BGP en pratique. Pour participer, il suffit de :
- s'attribuer un ASN et une plage d'adresse ;
- établir des tunnels (IPsec, GRE, OpenVPN, Tinc, ...) avec des participants existants ;
- monter des sessions BGP avec ses voisins et annoncer son préfixe.
Documentation officielle
Le wiki officiel a pas mal d'informations. Il y a notamment un guide Getting started.
Une copie de l'ancien wiki est disponible. Attention : la plupart des informations concernant DN42 ne sont plus d'actualité. Par contre, tous les détails techniques concernant les tunnels ou BGP (Quagga, OpenBGPd, etc) sont encore utiles.
DN42 et le Loop
Liste de diffusion et canal IRC
Une liste de discussion est dédiée à la mise en place de dn42 au sein du Loop.
Il est aussi possible de venir en parler sur le salon IRC.
Notre implémentation de DN42
Un micro-bout d'histoire
Le Loop s'est connecté à DN42 le temps du week-end des 9 et 10 août 2014. Le projet a été mené par nicoo, kankan et dlgg.
La VM Heimdall a été installée pour s'occuper d'interconnecter le LAN et router le traffic vers/depuis DN42. Ainsi un problème sur DN42 ne pourra impacter le fonctionnement du LAN. À noter que pour l'occasion les différents sous-réseaux ont été renumérotés avec un adressage compatible DN42.
Petite description
Techniquement DN42 à la BlackLoop c'est des tunnels OpenVPN, IPSec ou fastd montés avec d'autres membres de dn42, ainsi qu'un VPN tinc avec FFDN. Une liste complète des peers est disponible plus bas
Pour le routage BGP il a été décidé d'utiliser BIRD.
Communautés BGP
DN42 utilise des communautés BGP spécifiées ici pour annoncer certaines propriétés d'une route :
- Utilise-t-elle exclusivement des tunnels chiffrés? Assurent-ils la confidentialité persistante ?
- Quelle est la bande passante minimale, parmi les liens traversés ?
- Quelle est la latence maximale, parmi les liens traversés ?
De plus, les routeurs BGP de DN42 semblent honorer les communautés standard telles que NO_EXPORT, que nous utilisons également.
kankan a commencé la mise en place des communautés BGP au Loop.
Pour l'instant, nous taggons toutes les routes comme ayant au plus 20ms de latence, la bande passante d'une connexion ADSL et utilisant des tunnels chiffrés sans PFS (c'est le cas de la majorité de nos intercos OpenVPN). Il faudra affiner ceci dans le futur.
Les communautés sont données à titre indicatif pour d'autres participants à DN42, notre politique de routage actuelle n'utilisant pas les communautés.
Politique de routage et de peering
Maintenant que nous avons une grosse connexion Internet, Heimdall envoie désormais une full view à tout ses pairs.
Historiquement, nous n'avions qu'une connexion ADSL/VDSL au loop, partagée avec le Jardin d'Alice. Cette connexion était déjà relativement sollicitée, nous avions décidé de ne pas devenir un noeud de transit DN42 pour économiser notre bande passante. Par conséquent, par défaut nous n’annoncions que nos routes et ne redistribuons pas les routes apprises par nos pairs, à quelques exceptions près.
Ressources et objets enregistrés dans le registre de DN42
DN42 opère un registre (en pratique un repository Monotone) dans lequel sont enregistrés les assignations d'adresses IP, de numéros d'AS, de noms de domaine, et globalement tous les objets uniques de DN42.
nicoo a un accès en écriture sur certains repositories Monotone de DN42 (ceux hébergés par xuu et zorun). nicoo et kankan ont les accès pour modifier les objets enregistrés via l'interface web du registre.
Les objets enregistrés pour le Loop sont les suivants :
- Numéro d'AS :
-
AS 4242422121
-
- Préfixes :
-
172.22.146.0/23
(annoncé) pour les réseaux du loop -
172.22.59.0/24
(annoncé) pour les réseaux des squats -
172.22.247.0/27
(non-annoncé) pour les interconnexions -
172.22.247.192/26
(non-annoncé) pour les interconnexions
-
- Noms de domaines :
-
leloop.dn42
-
caserne.dn42
-
Intercos en place
Les intercos barrées sont celles actuellement down.
- Dans notre bloc d'interco (
172.22.247.0/27
)-
172.22.247.0/31
: kankan (OpenVPN, client)AS64742
-
172.22.247.2/31
: dlgg (OpenVPN, client)AS4242420369
-
172.22.247.4/31
: Nurtic-Vibe sur #dn42 (OpenVPN, PTP)AS4242420123
-
172.22.247.6/32
: Breizh-Entropy (petrus) sur #ffdn-dn42 (OpenVPN, PTP)AS64751
-
172.22.247.7/32
: MWD sur #dn42 (OpenVPN, PTP)AS4242420002
-
172.22.247.8/32
: toBee sur #dn42 (fastd)AS4242420022
-
172.22.247.9/32
: xuu sur #dn42 (OpenVPN, PTP)AS64737
-
172.22.247.10/31
: Sammy sur #dn42 (OpenVPN, PTP)AS76175
, GPG0xE7A4B302
-
Down depuis Mai 2015 ; nicoo a contacté Ryan172.22.247.12/31
: Ryan sur #dn42 (OpenVPN, PTP)AS64746
, GPG0xF95CDE14
-
172.22.247.14/31
: farhaven sur #dn42 (IPSec/GRE)AS4242422342
-
172.22.247.16/31
: libre -
172.22.247.18/31
: Interco freifunk (Bodems sur #dn42) (OpenVPN, PTP)AS65529
, GPG0x68EAB8261BFCC84A
-
172.22.247.20/31
: Martin89 sur #dn42 (OpenVPN, PTP)AS64713
, GPG0x17CA8DC19829FB42
-
172.22.247.22/31
: CCC Dresden (Astro sur #dn42) (OpenVPN, PTP)AS64699
, GPG0x58512AE87A69900F
-
172.22.247.24/30
: lorenzo sur #dn42 (IPSec/GRE)AS64713
(c'est un/30
à cause du routeur Mikrotok en face) -
172.22.247.28/30
: Utilisé pour l'interco entre heimdall et rabbit
-
- Dans notre second bloc d'interco (
172.22.247.192/26
):-
172.22.247.192/31
: unbedenklich sur #dn42 (OpenVPN PTP),AS4242420020
, GPG0x6F79FDF6DF3FADA4
-
172.22.247.194/32
: FF Darmstadt (hexa- sur #dn42) (fastd PTP),AS65038
-
172.22.247.195/32
: CCC Darmstadt (hexa- sur #dn42) (fastd PTP),AS4242420101
-
Actuellement down, pour cause de descente de flics pendant qu'on mettait l'interco en place.172.22.247.196/32
: Alistair sur #dn42 (OpenVPN PTP),AS4242420035
, GPG0xC730EE52C673018B
, full-view -
172.22.247.197/32
: libre -
172.22.247.198/31
: neoraider sur #dn42 (fastd PTP),AS
-
172.22.247.200/31
: nazco sur #dn42 (OpenVPN PSK),AS76118
-
172.22.247.248/30
: Utilisé pour l'interco entre heimdall et Polaire -
172.22.247.252/30
: Réservé pour l'interco entre rabbit (le routeur du loop) et aiguilleur (le routeur de la Gare XP)
-
- Autres
-
172.22.250.16/25
: IX FFDN sur #ffdn-dn42 (tinc, switch)AS746142
-
172.22.251.214/31
: Feuerrot sur #dn42 (OpenVPN, PTP)AS76140
-
172.22.164.208/30
: drixter sur #dn42 (IPSec/GRE, utilisation d'une PSK)AS56662
, full view parce que drixter était une feuille de ryan -
172.22.254.66/27
: CCC Bremen (crest sur #dn42) (OpenVPN client),AS64828
-
Voir aussi
- La catégorie DN42 sur ce wiki
- https://dn42.net/ : présentation du projet dn42
- https://www.ffdn.org/wiki/doku.php?id=travaux:dn42 : La page FFDN sur DN42 (dont est copié une partie de cette page sous licence CC BY-NC-SA 3.0)